223
技術社區[雲棲]
阿裏雲ECS安全組之新手不得不麵對的問題
概念
安全組是一個邏輯上的分組,這個分組是由同一個地域(Region)內具有相同安全保護需求並相互信任的實例組成。每個實例至少屬於一個安全組,在創建的時候就需要指定。同一安全組內的實例之間網絡互通,不同安全組的實例之間默認內網不通。可以授權兩個安全組之間互訪。
安全組是一種虛擬防火牆,具備狀態檢測包過濾功能。安全組用於設置單台或多台雲服務器的網絡訪問控製,它是重要的網絡安全隔離手段,用於在雲端劃分安全域。
安全組限製
- 單個安全組內的實例個數不能超過 1000。如果您有超過 1000 個實例需要內網互訪,可以將他們分配到多個安全組內,並通過互相授權的方式允許互訪。
- 每個實例最多可以加入 5 個安全組。
- 每個用戶的安全組最多 100 個。
- 對安全組的調整操作,對用戶的服務連續性沒有影響。
- 安全組是有狀態的。如果數據包在 Outbound 方向是被允許的,那麼對應的此連接在 Inbound 方向也是允許的。
- 安全組的網絡類型分為經典網絡和專有網絡。
- 經典網絡類型的實例可以加入同一地域(Region)下經典網絡類型的安全組。
- 專有網絡類型的實例可以加入同一專有網絡(VPC)下的安全組。
安全組實踐
雲服務器ECS安全組實踐(一)
雲服務器ECS安全組實踐(二)
雲服務器ECS安全組實踐(三)
新手必備
新購
隨著雲服務器的普及以及對學生優惠的力度,相對於虛擬主機的價格,很多開發者或者學生更傾向於選擇雲服務器ECS。
虛擬主機已經有完善的配置,你隻需要開通運用即可。但是,雲服務器就不會那麼輕鬆了,你需要懂得簡單的服務器環境配置,如果是Linux,你還需要懂得一些Linux的運維工作。
新手經常會遇到如下問題:
- 為什麼通過SSH無法連接服務器?
- 域名解析了,域名也綁定了(通過控製台登錄的),為什麼域名無法訪問?
- 服務器MySql數據庫安裝成功了,為什麼本地無法連接?
總之,很多類似的問題,這裏就不一一舉例了,下麵我們就來聊一聊,新購用戶該如何選擇安全組。
截止2017年6月4日,用戶點擊購買ECS默認會選擇自定義配置。
計費方式:包年包月
地域:根據服務用戶群體地域選擇即可
網絡:默認是私有網絡,是指邏輯隔離的私有網絡,您可以自定義網絡拓撲和 IP 地址,支持通過專線連接,網絡可擴展性強。適合於對網絡有個性化定製及高級定製需求的客戶。
如果你選擇的是**專有網絡**,可以注意到網絡選項下麵有一個安全組的選項,點擊下拉會看到默認安全組2(開放22,3389,ICMP協議),選擇即可。
如果你選擇的是**經典網絡**,點擊安全組下拉會看到兩個選項,默認安全組1和默認安全組2,建議選擇1並勾選一下選項。
注意
- 22端口是Linux係統下SSH端口,用於遠程連接。
- 3389端口是Windows係統用於遠程桌麵連接的。
- 如果你先私有網絡,若需要開放其他端口如:80端口(HTTP)、443端口(HTTPS),您可以在實例創建成功後前往 ECS控製台->安全組->配置規則 裏設置。
好,到目前為止,剩下的選項根據自己的需求,簡單配置一下即可下單了。
配置
購買成功後,安全組位於雲服務器 ECS-網絡和安全-安全組。
點擊配置規則,一下是樓主服務器的安全組配置:
由於樓主選擇的是經典網絡,對於內網出入方向以及公網出方向大家可以暫且不用考慮(默認為空即可),這裏我們隻需要配置公網入方向就ok。
服務器隻開放了80以及22端口,對於樓主來著足夠了,當然如果你服務器安裝可MySql,可以開放3306端口(不建議對外開放)點擊右上角新增安全組規則即可。
當然,如果你選擇是專有網絡的話,安全組隻有內網如方向和內網出方向了。
我理解的專有網絡的內網入方向和內網出方向和經典網絡的外網入方向和外網出方向是對等的。由於專有網絡是邏輯隔離的VPC,內網是相對隔離的,當然也就不存在經典網絡的內網出入方向。
以上,隻是自己的一些理解,如有不對之處敬請指正!
小站:https://blog.52itstyle.com/archives/957/
最後更新:2017-06-06 07:34:24